仮想通貨取引はハッキングやサイバー攻撃の標的となりやすく、世界中でこの問題が増えています。たとえば日本は2017年から2022年までの間、ある国のハッキングにより980億円相当の暗号資産が不正に取得されていたと明らかになっています。

私たちのクライアントも仮想通貨業界のリスクに危機感を強めており、新たに開発した仮想通貨取引プラットフォームの脆弱性を特定したいと考えていました。

このプラットフォームは依頼を受けた当時リリース３週間前という時期でしたが、それにもかかわらず外部のペネトレーションテスト、詳細なコードレビューを実施して、システムを確実に安全なものにすつという強い希望を持っていました。

Tokyo TechiesはCEOのDucをはじめサイバーセキュリティの専門家が在籍しており、その技術の高さを買われてこのテストの依頼を受けました。クライアントのシステム（クラウドインフラストラクチャ、ウェブ、モバイル、ブロックチェーンウォレットシステム）に対して包括的なペネトレーションテストとコードレビューをわずか14営業日で実施しました。

弊社が提案したアプローチ：
①システムを迅速に分析して潜在的なリスクを特定　②最も重要な項目に優先順位を付け、ペネトレーションテストを実行　③セキュリティの問題に対する解決策を提案　④修正プログラムの検証

最初の計画段階では、弊社と姉妹会社のベトナムチームも加わり、国境を越えた共同作業が行われました。

ホワイトボックステストでは、ペネトレーションテストのために必要な全ての権限が与えられ実施されました。テストの主な焦点は、複数の調査と攻撃を実行し、システム内に存在する脆弱性を特定することでした。
プロセス：
①システムの構造を確認　②ネットワークを評価　③サブシステムを特定　④システムの欠陥を利用して脆弱性を調査　⑤結果をクライアントに報告

‍

‍

Tokyo Techiesは、クライアントのクラウドアーキテクチャ、ウェブアプリケーション、モバイルアプリケーション、ブロックチェーンウォレットなどに包括的な調査とコードレビューを行い、30以上のセキュリティ上の問題を特定しました。そのうち約10件は、リリース前に即座に修正が必要な重大な脆弱性でした。以下に、いくつかの問題点を挙げます。

‍

‍

その中でも大きな2つの問題

1. API関数への制限の欠落: 多くのAPI関数に適切な制限がなかったため、ユーザーが他のユーザーの情報にアクセスし、変更できてしまう可能性がありました。これは重大なセキュリティリスクとなります。Tokyo Techiesはこの問題を修正するための提案を行い、適切に実装されたことを確認しました。
2. 古いソフトウェアの使用: プラットフォームが古いソフトウェア（Apache、OpenSSL、jQuery Bootstrap、Bootstrap-Vue、Laravel、PHPなど）を使用していたため、既知の脆弱性を悪用される可能性がありました。セキュリティ重視の企業はインフラストラクチャを定期的に調査し、最新の状態を保つ必要があります。Tokyo Techiesは関連する修正を提案し、それらが適切に実装されたことを確認しました。

これらをはじめとする脆弱性を修正し、システムのセキュリティを強化することで、Tokyo Techiesはプラットフォームのリリースに向けて準備を整えました。リリース後もシステムのセキュリティレベルを確保し、リスクの分析や品質向上のための計画を提案しています。さらに、定期的な調査を予定しており、特に重要なリリースの前には調査を行う予定です。

‍

私たちのチームは、高度な技術とサイバーセキュリティの専門知識を活用して、クライアントの仮想通貨取引プラットフォームのセキュリティを最大限に向上させることに取り組みます。安全性の確保とリスク軽減を重視したサービスを提供いたします。ペネとレーションテストをはじめとするサイバーセキュリティの実施をご検討中の方は、お気軽にお問い合わせください。無料相談も承っております。